AlOne
стоп стоп стоп....
так есть конкретно по моей задаче ответ на той странице? )
стоп стоп стоп....
так есть конкретно по моей задаче ответ на той странице? )
» Kerio WinRoute Firewall (часть 3)
Всем привет,
Стоит: КВФ 6.3.0 булид 2683
Мдаемон 7.2.0 ПРО
Умнея такой проблем вышил, не могу отправит е-маил на маил.ру. Такова е-маил получаю от КWФ.... На другом сервере могу отправит, без проблем. толка маил.ру.... а зачем от керио полицаю такое предупреждение.
Ошибка
Kerio WinRoute Firewall was unable to deliver message. Remote server's reply:
421 Try again later
Message headers follow:
Received: from ws0003 by slaz.local
(MDaemon.PRO.v7.2.0.R)
with ESMTP id md50000337200.msg
for <******@mail.ru>; Fri, 19 Oct 2007 12:48:18 +0500
Message-ID: <002b01c81224$68e52730$0300a8c0@slaz.local>
From: "******" <i***@*****.com>
To: <****@mail.ru>
Subject: re
Date: Fri, 19 Oct 2007 12:48:16 +0500
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0028_01C8124E.518DDDA0"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.3138
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.3198
X-Authenticated-Sender: **@******.com
X-Spam-Processed: mail.slaz.local, Fri, 19 Oct 2007 12:48:18 +0500
(not processed: message from valid local sender)
X-MDRemoteIP: 192.168.0.3
X-Return-Path: **@*****.com
X-MDaemon-Deliver-To: ***@mail.ru
X-MDAV-Processed: mail.slaz.local, Fri, 19 Oct 2007 12:48:23 +0500
Стоит: КВФ 6.3.0 булид 2683
Мдаемон 7.2.0 ПРО
Умнея такой проблем вышил, не могу отправит е-маил на маил.ру. Такова е-маил получаю от КWФ.... На другом сервере могу отправит, без проблем. толка маил.ру.... а зачем от керио полицаю такое предупреждение.
Ошибка
Kerio WinRoute Firewall was unable to deliver message. Remote server's reply:
421 Try again later
Message headers follow:
Received: from ws0003 by slaz.local
(MDaemon.PRO.v7.2.0.R)
with ESMTP id md50000337200.msg
for <******@mail.ru>; Fri, 19 Oct 2007 12:48:18 +0500
Message-ID: <002b01c81224$68e52730$0300a8c0@slaz.local>
From: "******" <i***@*****.com>
To: <****@mail.ru>
Subject: re
Date: Fri, 19 Oct 2007 12:48:16 +0500
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0028_01C8124E.518DDDA0"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.3138
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.3198
X-Authenticated-Sender: **@******.com
X-Spam-Processed: mail.slaz.local, Fri, 19 Oct 2007 12:48:18 +0500
(not processed: message from valid local sender)
X-MDRemoteIP: 192.168.0.3
X-Return-Path: **@*****.com
X-MDaemon-Deliver-To: ***@mail.ru
X-MDAV-Processed: mail.slaz.local, Fri, 19 Oct 2007 12:48:23 +0500
Имею фаервол(kerio) и почтовик(kerio) на одной машине. возникло желание ограничить скорость для почтовика. Как грамотно это сделать ?
obtim
Если, только почтовику, то никак. А всей машине - легко.
Если, только почтовику, то никак. А всей машине - легко.
Для ограничения скорости есть замечательный продукт "BandwidthController"
Пользуюсь им в связке с Керио, т.к. у самого Керио довольно скудные возможности по ограничению скорости.
Пользуюсь им в связке с Керио, т.к. у самого Керио довольно скудные возможности по ограничению скорости.
Очень хочется услышать какой-нибудь ответ на мой вопрос.
IL81
Авторизация по MAC адресу в керио на прямую не возможна. Есть тока по IP. Можно при раздаче адресов по DHCP сделать жесткую привязку IP к MAC адресам, но это конечно не 100% гарантия того, что пользователь не изменит IP в ручную ))). На 41 странице кто-то кажется предлагал прогу, которая контролирует MAC адреса в сети... может с ней будет надежнее...
p.s. перепутал, пардон
... http://mdprograms.narod.ru/ ссылочка на нее
Авторизация по MAC адресу в керио на прямую не возможна. Есть тока по IP. Можно при раздаче адресов по DHCP сделать жесткую привязку IP к MAC адресам, но это конечно не 100% гарантия того, что пользователь не изменит IP в ручную ))). На 41 странице кто-то кажется предлагал прогу, которая контролирует MAC адреса в сети... может с ней будет надежнее...
p.s. перепутал, пардон
... http://mdprograms.narod.ru/ ссылочка на нееcrapaud
ни на 41 ни во всей ветке про MAC ни чего нет.
ни на 41 ни во всей ветке про MAC ни чего нет.
Ekzarh
Цитата:
у меня модем роутером, но я создал правило
СУРС ДЕСТИНАТИОН СЕРВИС
ANY ANY ANY
все равно теряет соединение. отключаю фаер - все работает.
проблема именно в фаере. и на старом компе и на новом. сервер менял, ослика менял. не помогает.
Цитата:
у меня осёл работает без нареканий.
я создал службу, назвал её МУЛ протокол ANY, source port any и дестин порты: 4663,4673,4242,5000
далее в траффик полиси такое правило:
СУРС ДЕСТИНАТИОН СЕРВИС
подкл к инету подкл к инету
фаер фаер МУЛ
у меня модем роутером, но я создал правило
СУРС ДЕСТИНАТИОН СЕРВИС
ANY ANY ANY
все равно теряет соединение. отключаю фаер - все работает.
проблема именно в фаере. и на старом компе и на новом. сервер менял, ослика менял. не помогает.
IL81
Тут есть
Тут есть
Господа, подскажите как побороть ошибку при установке версии 6.4.0 build 3176 на XP SP2:
Product: Kerio WinRoute Firewall -- Error 28202. Failed to install KWF driver. Command: CREATE. Action: KWFCreateDevice. Result: 0x800F0203 ,Failed to modify network configuration.
Что любопытно, данная ошибка стала появляться после установки некоторых обновлений винды. До обновления винды установка кери проходила чисто.
Product: Kerio WinRoute Firewall -- Error 28202. Failed to install KWF driver. Command: CREATE. Action: KWFCreateDevice. Result: 0x800F0203 ,Failed to modify network configuration.
Что любопытно, данная ошибка стала появляться после установки некоторых обновлений винды. До обновления винды установка кери проходила чисто.
r dmitry
я когда впервые поставил винрут, и создал правло везде ЭНИ... у меня инет вообще не работал НИГДЕ. пришлось снести маздай, поставить заново. Только после этого всё заработало. Больше вариантов не вижу. В общем убедись ещё раз:
открытили те порты, к которым обращается мул. и не блочит ли винрут айпишки серверов.
если нет... то и вариантов у меня больше нет =)
я когда впервые поставил винрут, и создал правло везде ЭНИ... у меня инет вообще не работал НИГДЕ. пришлось снести маздай, поставить заново. Только после этого всё заработало. Больше вариантов не вижу. В общем убедись ещё раз:
открытили те порты, к которым обращается мул. и не блочит ли винрут айпишки серверов.
если нет... то и вариантов у меня больше нет =)
порты открыты, роуты прописаны, диапазоны прописаны. осел работает, но отваливается от серверов. не то чтобы он не мог подключится. тут все нормально. и коннектится и качает и отдает, но отваливается примерно каждые 15 минут. щас пробую джетико, но уж очень накручено все. никак не пойму че да как.
Ребят. Пользую последнюю версию винроута, похоже нашел бажок.
не всегда проявляется, но на одном юзере была именно такая проблема:
при привязке по IP у пользователя, постоянно задумывалась, долго... оччень долго грузились странички. убрал - залетало. может кому поможет
не всегда проявляется, но на одном юзере была именно такая проблема:
при привязке по IP у пользователя, постоянно задумывалась, долго... оччень долго грузились странички. убрал - залетало. может кому поможет
А скажите - у меня следующая проблема . Доступ по НАТу разрешен только определенной группе пользователей (work)
правиль стандартное
Nat_Internet Work-->Internet(интерфейс ,по которому выходят в инет)--http,https, pop, smtp и т.д.--allow--NAT(default outgoning interface)
. ОНи авторизуются автоматом по IP. Лень просто в совковой конторе приучать людей каждый раз вводить логин и пароль , чтобы выйти в инет.
Включен прокси (non-transparent). Но каждый раз получается так, что особо ушлые люди научились менять свои IP-адреса, и их ВСЕ РАВНО ВЫПУСКАЕТ В ИНЕТ, при прописаном адресе прокси сервера, несмотря на то, что в группе WORK их нет.
Вы не знаете чем может быть обусловлена такая дыра?.
В фильтре - пишет , что спокойно пускает в инет.
Причем когда я создала правило на самом верху
Ban_ip--айпишник гада--internet--any--drop-NAT
Его все равно пускало. ЧТо я делаю неправильно? Почему люди, не входящие в группу WORk все равно спокойно по прокси вылазят в инет?
правиль стандартное
Nat_Internet Work-->Internet(интерфейс ,по которому выходят в инет)--http,https, pop, smtp и т.д.--allow--NAT(default outgoning interface)
. ОНи авторизуются автоматом по IP. Лень просто в совковой конторе приучать людей каждый раз вводить логин и пароль , чтобы выйти в инет.
Включен прокси (non-transparent). Но каждый раз получается так, что особо ушлые люди научились менять свои IP-адреса, и их ВСЕ РАВНО ВЫПУСКАЕТ В ИНЕТ, при прописаном адресе прокси сервера, несмотря на то, что в группе WORK их нет.
Вы не знаете чем может быть обусловлена такая дыра?.
В фильтре - пишет , что спокойно пускает в инет.
Причем когда я создала правило на самом верху
Ban_ip--айпишник гада--internet--any--drop-NAT
Его все равно пускало. ЧТо я делаю неправильно? Почему люди, не входящие в группу WORk все равно спокойно по прокси вылазят в инет?
AF1NA
Правила в студию и будем разбираться! Но все что там хорошенько объясни!!!
Правила в студию и будем разбираться! Но все что там хорошенько объясни!!!
AF1NA
Ты сам себе и ответил. Они меняют ИП-адреса. Как керио должен узнать, какой из двух одинаковых ИП-адресов поддельный?
Варианты решения проблемы:
1) Таки заставить всех логиниться, как делают это все белые люди
2) Лишишь всех, нах, административных прав.
Идеальный вариант, и то и другое!
Ты сам себе и ответил. Они меняют ИП-адреса. Как керио должен узнать, какой из двух одинаковых ИП-адресов поддельный?
Варианты решения проблемы:
1) Таки заставить всех логиниться, как делают это все белые люди
2) Лишишь всех, нах, административных прав.
Идеальный вариант, и то и другое!
AF1NA
У тебя поднят домен? Запрети средствами групповой политики менять IP.
У тебя поднят домен? Запрети средствами групповой политики менять IP.
Установил я значит этот продукт версии 6.3. Настроил правила.
Одно из них портмапинг VPN сервера выглядит так:
Source: Inet(интерфейс смотрящий в инет) - Destination (Firewall) - Service (PPTP, GRE) - Translation (MAP 192.168.0.100)
Почему не пробрасываеться PPTP на 192.168.0.100?
Есть ли в WinRoute монитор на подобии ISA?
Добавлено:
Все проблема решена, в доках написано:
Примечание: Для правильного функционирования port mapping (отображения порта) локальный сервер должен использовать в качестве шлюза брандмауэр WinRoute. В противном случае нет необходимости активировать Источник (Source) NAT в дополнение к Адресату (Destination) NAT.
Одно из них портмапинг VPN сервера выглядит так:
Source: Inet(интерфейс смотрящий в инет) - Destination (Firewall) - Service (PPTP, GRE) - Translation (MAP 192.168.0.100)
Почему не пробрасываеться PPTP на 192.168.0.100?
Есть ли в WinRoute монитор на подобии ISA?
Добавлено:
Все проблема решена, в доках написано:
Примечание: Для правильного функционирования port mapping (отображения порта) локальный сервер должен использовать в качестве шлюза брандмауэр WinRoute. В противном случае нет необходимости активировать Источник (Source) NAT в дополнение к Адресату (Destination) NAT.
Домен только поднимаем. ПРосто я думала, если использовать в столбце "sourсe" - не весь интерфейс "local area connection", а ГРУППУ ПОЛЬЗОВАТЕЛЕЙ, то из раздачи инета исключатся все айпишники, которые не входят в эту группу.
Это так? просто по ходу в мануале было так написано, что надо использовать не интерфейс локальной сети , а группы пользовтелей.
Это позволяет более обезопасить себя , позволяя выходить в инет - только юзерам из УКАЗАННОЙ ГРУППЫ ПОЛЬЗОВАТЕЛЕЙ (а там список айпишников ограниченный).
ЭТо список пользователей , забитый в группы.
Это так? просто по ходу в мануале было так написано, что надо использовать не интерфейс локальной сети , а группы пользовтелей.
Это позволяет более обезопасить себя , позволяя выходить в инет - только юзерам из УКАЗАННОЙ ГРУППЫ ПОЛЬЗОВАТЕЛЕЙ (а там список айпишников ограниченный).
ЭТо список пользователей , забитый в группы.
AF1NA
Цитата:
Ти прав! Но они меняют на ip которым разрешено ходить?
Добавлено:
Керио различает запросы по ip! Тоесть:посмотрел что за ip в запросе, посмотрел за кем закреплена, посмотрел в какой группе, посмотрел за каким правилом разрешить!
Цитата:
из раздачи инета исключатся все айпишники, которые не входят в эту группу.
Ти прав! Но они меняют на ip которым разрешено ходить?
Добавлено:
Керио различает запросы по ip! Тоесть:посмотрел что за ip в запросе, посмотрел за кем закреплена, посмотрел в какой группе, посмотрел за каким правилом разрешить!
Версия 6.4.0 b3176.
Следующая проблема.
Обновлялся в след. порядке(иначе не позволяло): 6.1.3 -> 6.2 -> 6.3.1 -> 6.4.0
Появилась проблема.
У меня стоит POP3 агрегатор, что собирает почту из корпоративных ящиков и ложит в ящики Exchange. Около 20-25 аккаунтов в нем. До момента обновления все было ОК.
Теперь иногда на некоторые ящики выдает Connection timeout... Все продолжается вплоть до перезагрузки Керио.
В том числе несколько юзеров, что забирают почту напрямую - не могут это сделать, ибо получение виснет на каком-нить письме и ничего не помогает опять же пока не отресетишь Керио.
Проблема сильно портит жизнь ввиду важности почты.
Решать пробовал разными способами.
И открывал прямой доступ конкретно на pop и smtp сервера.
И всей сетке открывал доступ на них. И через порты пускал. И с инспектором протоколов пробовал играть.
Ничего не помогло.
Может есть у кого соображения на этот счет?
Следующая проблема.
Обновлялся в след. порядке(иначе не позволяло): 6.1.3 -> 6.2 -> 6.3.1 -> 6.4.0
Появилась проблема.
У меня стоит POP3 агрегатор, что собирает почту из корпоративных ящиков и ложит в ящики Exchange. Около 20-25 аккаунтов в нем. До момента обновления все было ОК.
Теперь иногда на некоторые ящики выдает Connection timeout... Все продолжается вплоть до перезагрузки Керио.
В том числе несколько юзеров, что забирают почту напрямую - не могут это сделать, ибо получение виснет на каком-нить письме и ничего не помогает опять же пока не отресетишь Керио.
Проблема сильно портит жизнь ввиду важности почты.
Решать пробовал разными способами.
И открывал прямой доступ конкретно на pop и smtp сервера.
И всей сетке открывал доступ на них. И через порты пускал. И с инспектором протоколов пробовал играть.
Ничего не помогло.
Может есть у кого соображения на этот счет?
Цитата:
Цитата:из раздачи инета исключатся все айпишники, которые не входят в эту группу.
Ти прав! Но они меняют на ip которым разрешено ходить?
Добавлено:
Керио различает запросы по ip! Тоесть:посмотрел что за ip в запросе, посмотрел за кем закреплена, посмотрел в какой группе, посмотрел за каким правилом разрешить!
lavren
Нет, в том то и дело, что они не меняют айпишник на который разрешено, они на любой из сетки меняют и пролазят при врубленной проксе.
ПРосто гада я нашла в первый же день, это не так страшно, порнуху у меня качать любят только в двух местах. Проки вырубила, естественно инет у них пропал. ПРосто обидно, что разделение доступа по группам не работает.
Там в траффик полисях вверху правило "Ban_ip" - там я напрямую дропнула доступ к Интернету по его новому айпишнику, и все равно интернет эксплорер с врубленной проксей спокойно достукивается до инета.
Лан - буду считать, что это фича. =))
AF1NA
У тебя стоят галочки:
Users and Groups\Users\Authentication Options
-Always require users to be authenticated when accessing web pages
-Enable non-transparent proxy server authentication
-Automatically logout users when they are inactive
Configuration\Content Filtering\HTTP Policy\Proxy Server
-Enable non-transparent proxy server (какойто порт поставь)
В всех правилах Configuration\Content Filtering\HTTP Policy\URL Rules где стоит any user поставь do not require authentication
Добавлено:
Realmagnum
У KWF Версия 6.4.0 траблы с почтой! Или здесь, или в варезнике, или в програмах обсуждали!
У тебя стоят галочки:
Users and Groups\Users\Authentication Options
-Always require users to be authenticated when accessing web pages
-Enable non-transparent proxy server authentication
-Automatically logout users when they are inactive
Configuration\Content Filtering\HTTP Policy\Proxy Server
-Enable non-transparent proxy server (какойто порт поставь)
В всех правилах Configuration\Content Filtering\HTTP Policy\URL Rules где стоит any user поставь do not require authentication
Добавлено:
Realmagnum
У KWF Версия 6.4.0 траблы с почтой! Или здесь, или в варезнике, или в програмах обсуждали!
Господа, после установки 6.4.0 блокируется почти все нафик. Мама Intel SCB2, 2 интегр.сетевухи,
6.2.1 до этого работала нормально.
Есть ли мысли о причинах?
Юзаю KWF не первый год, про ТП просьба не намекать - все варианты опробованы.
6.2.1 до этого работала нормально.
Есть ли мысли о причинах?
Юзаю KWF не первый год, про ТП просьба не намекать - все варианты опробованы.
Как открыть доступ на сайт не зная порта на него прокси Kerio, прокси отключаю сайт открывается.
Есть две сетки Локальная и сеть интранет организации. Между ними kerio 6.4.0.3176. в сети интранет есть ресурс, который требует аутентификации по имени и паролю. Дак вот после установки керио страница авторизации каким-то образом просто отбрасывается и выдается сообщение «доступ запрещен». Разрешил весь исходящий трафик на внешнюю сеть – бесполезно. (ранее стояла версия керио 6.0.****) может кто сталкивался с такой проблемой.
alfred444
А ты прописал в Adress groups IP интранета?
А ты прописал в Adress groups IP интранета?
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485868788
Предыдущая тема: Не расшариваются SYSVOL и NETLOGON
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.